Hirdetés

Hirdetés

Új hozzászólás Aktív témák

  • brd

    nagyúr

    válasz Egon #9949 üzenetére

    Nincs olyan, hogy NTLM v1 és v2 hash. LM hash és NTLM hash van. Az NTLM verziója az authentikáció módszerét írja le. Az LM hash-t és az NTLMv1 authentikációt kell megszüntetni.

    Sorban:

    1. Group policy-ből: Computer Configuration, Windows Settings, Security Settings, Local Policies, Security Options, Network security: LAN Manager authentication level: "Send NTLMv2 response only. Refuse LM & NTLM" (DC-kre is vonatkozzon!). Ha esetleg van nem domaintag gép, akkor registryből is állítható, még Home-on is. Így viszont régebbi OS-ekkel/software-ekkel (amelyek nem ismerik az NTLMv2 típusú authentikációt) egyáltalán nem lehet majd kommunikálni, rossz username/password üzenetet fognak kapni. Vista/2008-tól felfelé az alap az NTLMv2, tehát a DC-n valószínűleg már amúgy is csak ez van, ha valaki hozzá nem nyúlt a policy-hez. Az, hogy a DC-ken van-e tárolva LM hash, tökmindegy; ha érdekel, kifejtem miért. Amit még be kellene kapcsolnod az XP-k, esetleg 2003 domain memberek miatt az a "Do not store LAN Manager hash value on next password change", ha még nem lenne.
    2. De igen, Win2000 (SPvalahány) óta már a v2-t lehet használni. Az LM még a Win95/98 maximuma volt (kiszolgálóként; kliensként bele lehetett hekkelni a v2-t is).
    3. Igen, jelszót kell változtatni, hogy az XP-ken esetleg tárolt LM hash eltűnjön (a fenti 2 beállítás után persze). Vista/2008-tól felfelé alapból nem is tárol el ilyet (de bekapcsolható).
    4. Azok már alapból NTLMv2-vel próbálkoznak.
    5. 4-es pont+3-as pont.

    Egyébként ha valakinek a jelszava hosszabb, mint 14 karakter, akkor nem is lesz LM hash-e, mert az max. annyit kezel.

    The only real valuable thing is intuition.

Új hozzászólás Aktív témák